Prawdopodobnie słyszałeś przerażające historie. Startup jest na progu zawarcia ogromnej transakcji korporacyjnej – kontraktu, który zmienia trajektorię firmy. Wtedy pojawia się "Kwestionariusz Bezpieczeństwa". Nagle impet sprzedaży napotyka mur, ponieważ potencjalny klient wymaga raportu SOC2 Type II.
Jeśli nie jesteś jeszcze zgodny z wymogami, ogarnia cię panika. Zdajesz sobie sprawę, że uzyskanie certyfikacji SOC2 to nie tylko odhaczenie kilku pozycji; to wyczerpujący proces dokumentowania każdej pojedynczej czynności, udowadniania, że faktycznie ją wykonujesz, i pokazywania , że twoje systemy są bezpieczne. Jedną z największych przeszkód w całym tym procesie jest wymóg Penetration Testing.
Tradycyjnie oznacza to zatrudnienie butikowej firmy ochroniarskiej, uiszczenie wysokiej opłaty, czekanie trzech tygodni na test manualny, a następnie otrzymanie raportu PDF wypełnionego lukami, które twoi deweloperzy muszą teraz szybko naprawić, zanim zobaczy je audytor. Jest to powolne, drogie i, szczerze mówiąc, przestarzałe. Zanim tester manualny zakończy swój raport, prawdopodobnie wdrożyłeś już dziesięć nowych wersji